WPS (Wi-Fi Protected Setup)

WPS (Wi-Fi Protected Setup) vereinfacht die Verbindung von Geräten mit einem WLAN, indem es die manuelle Eingabe eines Passworts ersetzt, stattdessen erfolgt die Authentifizierung per Knopfdruck oder PIN.

WPS aktiviert einen temporären Modus (ca. 2 Minuten), in dem kompatible Geräte automatisch das Netzwerkpasswort (PSK) erhalten und WPA/WPA2-Verbindung aufbauen. Es umfasst gegenseitige Authentifizierung zwischen Router und Client sowie automatische Konfiguration.

Wi-Fi Protected Setup (WPS) umfasst vier Hauptmethoden zur sicheren und einfachen Verbindung von Geräten mit einem WLAN, ohne Passwort einzugeben.

• Push Button Configuration (PBC): Beim Drücken eines physischen oder virtuellen Knopfes am Router und Gerät startet ein 2-minütiges Zeitfenster, in dem das Gerät automatisch authentifiziert und das Passwort erhält. Sicher durch physischen Zugang und begrenzte Zeit.
• PIN-Methode: Ein 8-stelliger PIN-Code (vom Router generiert) wird am Gerät eingegeben; Router und Client prüfen gegenseitig via Diffie-Hellman-Schlüssel und Hash. Häufig implementiert, aber anfällig für Brute-Force-Angriffe.
• USB Flash Drive (UFD): Netzwerkdaten werden auf einen USB-Stick am Router geschrieben und am Client eingelesen, transportiert PSK ohne drahtlosen Austausch. Selten genutzt, sicher bei physischer Kontrolle.
• Near Field Communication (NFC): Router und Gerät tauschen Daten kontaktlos in Nahdistanz (ca. 4 cm) aus, ideal für Smartphones oder Drucker ohne Display. Kaum verbreitet, aber bequem für IoT.

WPS (Wi-Fi Protected Setup) vereinfacht WLAN-Verbindungen, birgt aber erhebliche Sicherheitsrisiken, die eine Deaktivierung empfehlen.

Vorteile

WPS ermöglicht passwortlose Einrichtung für Geräte ohne Tastatur wie Drucker oder IoT-Sensoren, spart Zeit und reduziert Fehler bei langen Passwörtern. Push-Button-Methode ist zeitlich begrenzt (ca. 2 Minuten) und erfordert physischen Zugang, was sie praktisch für Haushalte macht.

Risiken

Die PIN-Methode ist hoch anfällig: Der 8-stellige Code teilt sich in zwei Teile, ermöglicht Brute-Force-Angriffe innerhalb Stunden; oft abgeleitet von MAC-Adresse. Schlechte Zufallszahl-Generierung erlaubt Replay-Angriffe; aktiviertes WPS öffnet unverschlüsselten Kanal für Passwortdiebstahl. Macht WPA2-Netze unsicher, ungeeignet mit WPA3.

Empfehlungen

Deaktiviere WPS vollständig und nutze starke WPA3-Passwörter, die Push Button Configuration (PBC) nur kurzzeitig bei Bedarf. Stelle Komfort lieber nicht über Sicherheit.

Wi-Fi Protected Setup (WPS) ist für Unternehmensnetzwerke weitgehend ungeeignet, da es erhebliche Sicherheitsrisiken birgt und keine Unterstützung für Enterprise-Umgebungen bietet. Zwar kann WPS in kleinen Büros oder im Home-Office nützlich sein, um Geräte wie Drucker schnell mit dem WLAN zu verbinden, ohne ein Passwort einzugeben, in professionellen Netzwerken ist der Einsatz jedoch riskant.

Große Unternehmen sollten WPS vermeiden, da Enterprise-WLANs in der Regel auf zentraler Authentifizierung über IEEE 802.1X oder WPA3-Enterprise basieren – Verfahren, die von WPS nicht unterstützt werden. Besonders kritisch ist die WPS-PIN-Methode, die durch Brute-Force-Angriffe leicht ausgehebelt werden kann, da die PIN in zwei vierstellige Hälften zerfällt und teils aus der MAC-Adresse abgeleitet wird. So lassen sich WPA2-Passwörter unter Umständen in kurzer Zeit knacken.

Da der sogenannte External Registrar unverschlüsselt kommuniziert, besteht zudem ein erhöhtes Risiko, dass Home-Office-Router über VPN-Tunnel das Firmennetz gefährden. Auch fehlen in Enterprise-Umgebungen meist Logging- und Monitoring-Funktionen, um solche Angriffe zu erkennen.